刘金涛，李克平

(1.北京交通大学 国家轨道交通安全评估研究中心, 北京 100044；2.北京交通大学 轨道交通控制与安全国家重点实验室，北京 100044)

无线闭塞中心RBC(Radio Block Center)作为我国CTCS-3级列车运行控制系统的核心子系统，向列车提供移动授权MA(Movement Authority)及各种静态、动态线路信息以保障列车的安全运行。由于RBC的管辖范围有限，在相邻RBC之间要进行列车控制权的交接。在RBC交接过程中出现任何与MA、线路信息等有关的问题，都有可能影响高速列车的正常运行，甚至导致高速铁路安全事故。根据铁路安全标准EN 50129[1]的要求，要在系统生命周期的需求阶段对系统实施危险因素分析，找出可能的危险致因，以便为后续的系统安全设计和安全评估提供依据。因此，在需求阶段对RBC交接过程进行危险因素分析，对于保障RBC交接过程中列车的安全运行具有重要意义。

需求阶段的危险因素分析是对系统需求规范所描述的系统进行分析。由于系统需求规范采用不同类型的描述方式(如术语描述、结构描述、场景描述等)从多种角度描述系统需求，并且不同类型的描述又相互关联(参见《CTCS-3级列控系统需求规范》[2])，因此保证了系统需求规范的逻辑严密性，但也带来了复杂的表述以及部分信息的重叠。这就要求用于危险因素分析的建模语言要具有较强且无二义性的表达能力。另外，从控制结构的角度来讲，RBC交接过程中存在控制-反馈回路(如RBC与车载设备、车载设备与列车等)，而控制-反馈结构容易造成危险致因之间非线性的因果关系[3]，增加了危险因素分析的难度。

目前应用较为广泛的系统危险因素分析方法主要基于事件链机制，代表方法有故障树分析FTA、失效模式影响分析FMEA等。这类方法认为系统危险的出现是由一系列因果关系事件的顺序发生所导致的。基于事件链的分析方法易操作，但是难以分析非线性因果关系的致因事件[3]。另外，此类方法受分析人员技能水平的影响较大。为此，有学者研究基于模型的危险因素分析方法[4-6]， 该方法以系统状态模型或失效逻辑模型为基础，例如NuSMV模型[4]、AADL模型[5]、FPTN模型[6]等，并利用形式化分析工具自动进行致因分析，在一定程度上减少了分析人员的技能水平对于分析结果准确性的影响。但是，基于模型的方法在本质上也属于基于事件链的方法，难以分析非线性因果关系的致因事件。

与前述方法不同，基于系统理论的事故模型及过程[3]STAMP(System-theoretic Accident Model and Processes)，以分层控制结构作为分析模型，从控制的角度来分析安全问题。STAMP关注系统内部的控制与反馈过程，能够充分分析非线性因果关系的危险致因。因此，本文基于STAMP理论对RBC交接过程进行危险因素分析。但是，现有研究[7-8]主要使用自然语言来描述分层控制结构，容易出现歧义或表述模糊的情况，难以满足需求阶段危险因素分析对建模语言的要求。而且，目前基于STAMP进行危险因素分析完全依靠分析人员进行人工实施，分析结果可信度受分析人员技能水平的影响较大。

考虑到形式化的混成自动机[9]HA(Hybrid Automata)具有准确、无二义性、可进行图形化建模的优点，且对象约束语言OCL(Object Constraint Language)[10]能够对图形化模型无法表达的建模信息进行描述，本文使用混成自动机结合OCL来描述分层控制结构。另外，在混成自动机模型的基础上，本文利用形式化的可达性分析对部分危险因素进行自动化辨识。

1 STAMP概述

STAMP基于系统论的观点认为系统具有层次化的控制结构，即系统由多个不同层次的控制环路组成，其中上一层的组织或结构通过控制过程来向下一层的组织或结构施加约束，同时下一层通过反馈过程向上一层反映约束的执行情况。在这种层次控制过程中，如果某一层出现了不安全的控制，整个系统的安全就难以保证。文献[3]给出了详细的不安全控制分类，比如控制器向被控者发出错误的控制命令，控制器在必要的时候没有提供控制命令等等。不安全的控制是系统事故出现的直接致因，而不安全控制行为则是由系统中的控制缺陷(如控制算法存在问题、执行器存在问题等)导致的，因此控制缺陷是系统事故的根本致因。控制缺陷的一般分类可参见文献[3]，在此不再赘述。

基于STAMP分析系统危险的致因，主要分为以下几个步骤：针对已经辨识出的系统危险，建立系统的分层控制结构；根据分层控制结构，找出系统中潜在的不安全控制；依据控制缺陷分类，进一步分析不安全控制出现的原因——控制缺陷，即系统危险的根本致因。

2 需求阶段的危险因素分析方法

基于STAMP理论，需求阶段的危险因素分析方法如图1所示，分为3步：步骤1，针对待分析的系统级危险，建立需求阶段的危险因素分析模型，即系统分层控制结构；步骤2，辨识潜在的导致系统危险的不安全控制；步骤3，依据需求阶段的控制缺陷分类，通过人工分析和形式化分析相结合的方式，确定控制缺陷。

图1 需求阶段的危险因素分析方法框图

本文提出的需求阶段的危险因素分析方法与以往基于STAMP的危险因素分析过程一致，主要区别在于：在步骤1中采用分层控制框图、混成自动机以及对象约束语言OCL实现系统分层控制结构的刻画，而非自然语言形式的分层控制结构构建方式；在步骤3中依据需求阶段的控制缺陷分类实施危险因素分析，而非系统运行阶段的控制缺陷分类；在步骤3中采用人工分析与形式化分析相结合的方式辨识控制缺陷，而非完全的人工分析方式。

2.1 危险因素分析模型构建

根据STAMP理论，危险因素分析模型由系统组件间的控制反馈关系、控制器内部的控制算法、过程模型、执行器和传感器的工作过程等内容组成[2]。对此，本文采用如下建模策略分别针对不同内容进行建模，从而最终构成危险因素分析模型。

(1)采用STAMP理论中的分层控制框图[2]对RBC交接过程中各组件的关系进行刻画。其中，组件间的控制关系以向下的箭头进行表示，反馈关系以向上的箭头进行表示。

(2)利用混成自动机[9]对控制算法、执行器和传感器的工作过程进行刻画。其中，利用混成自动机的状态表示控制算法的具体步骤，利用状态迁移触发条件表示算法各步骤的判定条件，利用混成自动机的状态迁移过程刻画相应组件的动态工作过程。

(3)除了上述分层控制关系、控制算法、执行器和传感器之外，危险因素分析模型中还包含控制器的过程模型。过程模型是控制器对被控过程的理解和认知，例如，在RBC交接过程中RBC的过程模型就是列车当前状态、周围环境等信息的集合。

根据STAMP理论对于过程模型的描述，本文给出过程模型的形式化定义如下。

定义1控制器中的过程模型PM(Process Model)是一个五元组，PM= (S,E,f,R,W)，其中：

(1)S={Si,i=1, 2, …,N}是一个非空有限的系统变量集合，N为被控对象的系统变量总个数,Si为被控对象的第i个系统变量。

(2)E={Ej,j=1, 2, …,M}是一个非空有限的环境变量集合，M为被控对象所处环境的环境变量总数,Ej为被控对象的第j个环境变量。

(3)f：S→{S,E}为变量集合之间的关系函数，且f={fS,fE}，fS为系统变量之间的关系函数，fE为系统变量与环境变量之间的关系函数。

(4)R={fS(Si,Sk) ,fE(Sl,Ej)}是变量之间的关系集合，其中，{Si,Sk,Sl,i≠k}⊆S且Ej∈E。

(5)W={Wp(Si) ,Si∈S,p=1, 2, …,V}是改变被控对象状态的行为集合，其自变量为被控对象的系统变量。

根据上述过程模型的定义，过程模型主要包含系统变量、环境变量、变量间的关系以及改变系统状态的方式等内容。对此，本文采用对象约束语言OCL[10]分别对各项内容进行描述。

2.2 需求阶段的控制缺陷分类

建立系统的危险因素分析模型之后，可辨识系统中潜在的不安全控制。这些不安全控制是系统危险的直接致因，而导致不安全控制的控制缺陷才是危险的根本致因。在此，需要依据一定的控制缺陷分类作为指导原则辨识控制缺陷。

虽然STAMP给出了控制缺陷的一般性分类[3]，但是这些控制缺陷反映的是系统实际运行中的危险因素，例如，不恰当的执行器操作会导致控制行为的错误实施；错误的修改控制算法会造成错误的控制行为等。需求阶段的系统由系统需求规范SRS(System Requirements Specification)来描述，反映的是需求层面的系统结构、工作流程等信息，因而此阶段的控制缺陷将有不同的表现形式。

为了明确需求阶段的控制缺陷分类，本文定义了影响控制行为的因素集合。

定义2控制器的控制行为CA(Control Action)受五元组(AL，PM，C，A，F)的影响表示为

(AL，PM，C，A，F)→CA

( 1 )

式中：AL表示控制器的控制算法，在需求阶段，AL由系统需求规范进行描述，并且通过控制器中的功能模块来具体实现；PM表示控制器中的过程模型，在需求阶段，PM由系统需求规范进行定义，同时其变量的初始值由控制器的输入决定；C表示控制器的协作关系，控制器各自的责任及与其他控制器的关系由系统需求规范进行定义说明；A表示控制环路中的执行器，在需求阶段，A的功能由系统需求规范进行描述，并且通过其内部功能模块来具体实现；F表示控制环路中的反馈过程，反馈机制由系统需求规范进行定义，并且通过传感器的内部功能模块具体实现。

根据上述定义可以看出，影响控制行为的各类因素在需求阶段主要由以下3方面内容决定：控制器的输入、控制环路中各个组件的功能模块以及系统需求规范的描述。如果这3方面内容出现问题，定义2中的5类元素就会相应出现问题，进而导致不安全的控制行为。根据定义2中的内容，得到需求阶段控制缺陷的一般性分类，如图2所示。

图2 需求阶段的控制缺陷分类

图2给出的控制缺陷分类主要面向系统需求阶段。根据控制缺陷不同的来源，图2所示的控制缺陷可分为：与控制器输入相关的控制缺陷、与组件功能模块相关的控制缺陷以及与系统需求规范相关的控制缺陷。后续的危险因素分析将依据这种控制缺陷分类来展开。

2.3 控制缺陷分析

根据需求阶段的控制缺陷分类，可分析造成不安全控制的原因，即系统危险的根本致因。本文采用人工分析和形式化分析相结合的方式来辨识控制缺陷，如图3所示。

图3 控制缺陷分析方法框图

图3左边虚线框表示通过人工分析的方式，辨识与控制器输入相关的控制缺陷。其中，主要依据“控制器的输入错误、缺失或没有及时更新”作为引导词，对该类控制缺陷进行辨识。

图3右边虚线框表示利用可达性分析[11]，辨识与组件功能模块相关以及与系统需求规范相关的控制缺陷，包括：

(1)根据危险因素分析模型中的混成自动机模型，建立形式化工具可执行的PHAVer模型。

(2)基于形式化的PHAVer模型，将不安全控制作为目标集合进行可达性分析。如果目标集合可达，则根据工具给出的系统可达集合逆向确认与系统需求规范SRS相关的控制缺陷；如果目标集合不可达，则不存在该类控制缺陷。

(3)基于形式化的PHAVer模型，利用故障注入的方式对其进行扩展。利用扩展后的模型，进行可达性分析，辨识与组件功能模块相关的控制缺陷。对于该过程的具体实现，可详见文献[12]。

3 需求阶段的RBC交接建模与分析

3.1 RBC交接场景及系统危险

在CTCS-3级系统中，列车车载设备向RBC报告列车当前的位置等信息，并接收由RBC提供的移动授权MA(Movement Authority)。由于RBC的管辖范围有限，列车从当前RBC(移交RBC)管辖区域行驶至相邻RBC(接收RBC)管辖区域时，列车控制权要进行相应的交接，为此《CTCS-3级系统需求规范》[2]规定了详细的流程，这个过程称之为RBC交接。RBC交接过程可根据列车车载电台的工作情况分为：只有一部电台正常的RBC交接和两部电台都正常的RBC交接。本文仅考虑两部电台同时工作的RBC交接过程。

在两部电台都正常的情况下，当列车通过RBC切换预告应答器组后，车载设备向“移交RBC”发送列车位置报告。“移交RBC”接收到位置报告后，向列车及“接收RBC”发送相应信息，从而正式发起交接过程。一方面，“移交RBC”根据“接收RBC”提供的信息，生成包含边界的MA并发送给列车；另一方面，列车与“接收RBC”建立会话。当列车的最大安全前端通过交接边界后，“接收RBC”将接管列车控制权并通知“移交RBC”。当列车最小安全末端经过边界应答器组后，列车与“移交RBC”最终结束会话。详细的交接流程可参见文献[12]。

另外，本文选取“在RBC交接过程中，CTCS-3级列控系统未能防止列车超出安全的速度及距离限制”作为待分析的系统级危险。

3.2 危险因素分析模型

图4 RBC交接过程的分层控制框图

根据前述内容，首先建立系统的分层控制框图，如图4所示。图4给出了RBC交接过程的系统分层控制框图。其中，Handover RBC表示移交RBC；Takeover RBC表示接收RBC；OBE表示车载设备；Train表示列车。图4中向下的箭头表示控制，例如车载设备控制列车；向上的箭头表示反馈，例如列车向车载设备反馈当前速度；水平箭头表示控制器之间的信息交互，例如“移交RBC”与“接收RBC”之间存在信息交互。图4中箭头旁的信息表示相应的控制命令、反馈数据或交互信息，其具体含义见表1。

在图4所示的分层控制结构中，两个RBC以及车载设备作为控制器，具有控制算法和过程模型。针对各自的控制算法以及列车的运行过程，建立相应的混成自动机模型，如图5所示。

表1 图4中信息的含义

图5 RBC交接过程的混成自动机模型

图5(a)给出了RBC交接过程中车载设备的混成自动机模型。其中，该模型由并发的上下两个自动机模型组成。上部的模型仅有一个通信状态Comm，表示车载设备与RBC的通信过程，包含发送位置报告、接收通信版本信息等；下部的模型主要描述车载设备对列车的监控算法，包括曲线计算CurveCal、监控Supervision、报警Warning、常用制动触发ServiceBrake、紧急制动触发EmergBrake等状态，车载设备首先计算速度监控曲线，然后进行速度比较，最后根据相应的结果选择实施报警、常用制动或紧急制动。

图5(b)所示混成自动机模型描述了交接过程中列车的运行状态，包括加速Acc、减速Dec、常用制动SBrake以及紧急制动EBrake。其中，关键字flow所引导的微分表达式描述了列车的动态行驶过程，不变集inv对列车的速度、加速度取值进行了约束。常数A和-B分别代表列车的最大加速度和最大减速度，mV和k分别代表期望速度值和实际偏差值。

图5(c)给出了RBC交接过程中“移交RBC”和“接收RBC”的混成自动机模型，该模型由并发的上中下3个自动机模型组成。上部的模型描述了“移交RBC”的移交控制算法，包括起始Initial-a、消息处理Handle-a、预移交PreHand以及移交Handover等4个过程。中部模型描述了“接收RBC”的接管控制算法，包括起始Initial-b、消息处理Handle-b以及接管Takeover等3个过程。最下部的模型描述了“移交RBC”和“接收RBC”对列车的控制算法，包括列车管理TrainManage、进路检查RouteCheck、移动授权缩短MAShorten、移动授权计算MACalculate和消息发送MesgSend等过程。图5中的消息含义参见表1。

根据定义1，建立RBC和车载设备的过程模型，如图6、图7所示。其中，图6所示的过程模型同属于“移交RBC”和“接收RBC”，对RBC中的列车位置、进路情况等变量进行声明，并刻画了各变量间的约束关系，例如进路的取消将导致MA的缩短等。另外，还对改变变量取值的方式进行了描述。图7所示过程模型对车载设备中列车速度、列车位置、MA终点等变量进行了声明，给出了变量间的约束关系，例如列车制动距离不能超过MA终点等。此外，还描述了车载设备改变列车状态的方式，如常用制动、紧急制动等。

图6 RBC的过程模型

图7 车载设备的过程模型

3.3 系统危险致因分析

根据图1所示方法，步骤2和步骤3要分析系统危险的致因。其中，步骤2辨识不安全控制，步骤3辨识导致不安全控制的控制缺陷。

3.3.1 不安全的控制

根据图4给出的控制框图，辨识出导致系统级危险“在RBC交接过程中，CTCS-3级列控系统未能防止列车超出安全的速度及距离限制”的不安全控制UCA(Unsafe Control Action)如下：

UCA1：在RBC交接过程中，“移交RBC”向车载设备提供了错误的包含交接边界的MA。

UCA2：列车接近交接边界且“接收RBC”辖区内进路发生变化时，“移交RBC”未及时缩短MA。

UCA3：存在临时限速时，“移交RBC”没有向车载设备提供临时限速。

UCA4：存在临时限速时，“移交RBC”提供了错误的临时限速。

UCA5：当需要车载设备实施制动时，车载设备没有提供制动命令。

3.3.2 控制缺陷分析

对于与控制器输入相关的控制缺陷ICF(Input- related Control Flaws)，以图2所示的“控制器的输入错误、缺失或者没有及时更新”作为引导词，并结合图6、图7所示过程模型，进行人工分析，结果如下：

UCA1：在RBC交接过程中，“移交RBC”向车载设备提供了错误的包含交接边界的MA。

ICF1.1：“接收RBC”向“移交RBC”提供的辖区内进路信息错误；

ICF1.2：“移交RBC”获得错误的列车位置；

ICF1.3：“移交RBC”获得错误的列车数据。

UCA2：列车接近交接边界且“接收RBC”辖区内进路发生变化时，“移交RBC”未及时缩短MA。

ICF2.1：“接收RBC”没有及时向“移交RBC”提供新的进路信息；

ICF2.2：“移交RBC”中的列车位置更新不及时。

UCA3：存在临时限速时，“移交RBC”没有向车载设备提供临时限速。

ICF3.1：“移交RBC”未收到临时限速；

ICF3.2：“移交RBC”收到的临时限速设置范围错误。

UCA4：存在临时限速时，“移交RBC”提供了错误的临时限速。

ICF4.1：“移交RBC”收到的临时限速错误。

UCA5：当需要车载设备实施制动时，车载设备没有提供制动命令。

ICF5.1：车载设备获得错误的列车实际速度；

ICF5.2：车载设备中用于计算速度距离曲线的列车数据错误；

ICF5.3：车载设备获得错误的线路描述数据；

ICF5.4：车载设备获得错误的MA信息。

对于与组件功能模块相关的控制缺陷以及与系统需求规范相关的控制缺陷，利用形式化的方式进行辨识。

首先，将图5所示的混成自动机模型转换为形式化工具可执行的PHAVer模型，限于篇幅，模型片段如图8所示。

图8 PHAVer模型片段

其次，将不安全控制描述为目标集合的形式，见表2。利用形式化工具PHAVer对模型进行可达性分析。结果显示目标集合不可达，说明不存在与系统需求规范相关的控制缺陷。

表2 不安全控制及相应的功能相关控制缺陷

最后，根据经验并参考文献[13]所列举的组件功能故障情况，选取48个与车载设备及RBC相关的故障进行故障注入，即在系统PHAVer模型中增加故障情况下的状态迁移，构成扩展后的形式化模型。同样以表2所示的不安控制为目标集合，利用形式化工具PHAVer对扩展后的模型进行可达性分析。结果显示目标集合可达，即注入故障之后，系统中将会出现不安全控制。根据形式化工具给出的可达状态集合，可确定与组件功能模块相关的控制缺陷，见表2。其中，表2中功能模块故障含义见表3。

表3 功能模块故障的含义

表3(续)

3.4 与现有研究的比较

文献[13-14]采用传统的FTA和FMEA对需求阶段的ETCS-2级列控系统RBC交接进行了危险致因分析。将上述文献与本文工作进行比较后发现：

(1)上述文献对于与输入相关的危险致因描述并不详细。例如，文献[13]将“不正确的地面子系统输入数据”作为危险致因，并没有描述不正确输入的相关详细内容。而详细的致因信息是后续系统安全设计和安全评估的重要依据。相比之下，本文分析与输入相关的控制缺陷时，不仅明确了是哪些不正确的输入导致危险，还指出了不正确输入的类型(错误、缺失或者更新不及时)，比如，RBC获取的限速信息错误、RBC中的列车位置更新不及时等。造成这种差异的原因在于：故障树本身不含有引导词，其分析的细致程度更多的是由分析人员的主观经验来决定。而本文使用了不安全控制分类、需求阶段控制缺陷分类等起引导词作用的信息，有助于更细致的分析。

(2)当针对不同的系统危险进行分析时，文献[13-14]的分析过程重用性较差。而本文所建的分层控制框图、混成自动机模型以及过程模型可重复用于不同危险的分析。

除上述基于FTA、FMEA的危险因素分析外，文献[4-5]采用基于形式化模型的方式来分析系统危险因素。利用形式化模型(如SMV模型、AADL模型等)描述系统状态，通过故障注入的方式将系统组件的功能故障添加至形式化模型，利用模型检验的方式分析系统危险致因。然而，这些形式化的分析方法采用故障注入的方式，难以分析除组件功能故障之外的危险致因。相比之下，本文利用人工分析与形式化分析相结合的方式既能分析与组件功能相关的致因，又能分析与组件输入相关的致因。另外，文献[4-5]采用模型检验技术进行危险因素分析，当系统变量较多时易出现“状态空间爆炸”的问题。而本文所采用的可达性分析技术则不存在此类问题。

4 结束语

本文采用分层控制框图刻画RBC交接过程中的控制-反馈关系，并利用混成自动机HA和对象约束语言OCL分别描述其中的控制算法、过程模型等内容，实现对需求阶段RBC交接分层控制结构的刻画。针对RBC交接过程中具体的系统危险，依据需求阶段的控制缺陷分类，利用人工分析和形式化分析相结合的方式辨识系统危险的根本致因。将分析结果与现有研究结果进行比较，结果表明本文所提方法适用于需求阶段的RBC交接危险因素分析。

参考文献：

[1]CENELEC. Standard EN 50129 Railway Applications: Communications, Signaling and Processing Systems Safety Related Electronic Systems for Signaling [S]. 2003.

[2]中华人民共和国铁道部. CTCS-3级列控系统系统需求规范(SRS) [S]. 北京：中国铁道出版社，2009.

[3]LEVESON N G. Engineering a Safer World: Systems Thinking Applied to Safety Engineering Systems [M]. Massachusetts: MIT Press, 2012.

[4]VILLAFIORITA A. The FSAP/NuSMV-SA Safety Analysis Platform [J]. International Journal on Software Tools for Technology Transfer， 2007, 9(1):5-24.

[5]BOZZANO M. Safety, Dependability and Performance Analysis of Extended AADL Models [J]. The Computer Journal, 2010, 54(5):1-22.

[6]RU N, TAO T. A Model-based Framework for the Safety Analysis of Computer-based Railway Signaling Systems [C]// Computer System Design and Operation in the Railway and other Transit Systems， 2010, 114: 827-838.

[7]ISHIMATSU T. Hazard Analysis of Complex Spacecraft Using Systems-theoretic Process Analysis [J]. Journal of Spacecraft & Rockets, 2014, 51(2):509-522.

[8]LU Y Z, SHU G T. STAMP-based Safety Control Approach for Flight Testing of a Low-cost Unmanned Subscale Blended-wing-body Demonstrator [J]. Safety Science, 2015, 74:102-113.

[9]THOMAS A, HENZINGER Z. The Theory of Hybrid Automata [C]// Proceedings of the 11th Annual IEEE Symposium on Logic in Computer Science. New York: IEEE,1996： 278-292.

[10]CORREA A, WERNER C, BARROS M. Refactoring to Improve the Understandability of Specifications Written in Object Constraint Language [J]. IET Software， 2009, 3(2): 69-90.

[11]DANG T, TESTYLIER R. Reachability Analysis for Polynomial Dynamical Systems Using the Bernstein Expansion [J]. Reliable Computing, 2013:128-152.

[12]刘金涛，唐涛，赵林，等. 基于UML模型的CTCS-3级列控系统功能安全分析方法[J]. 铁道学报, 2013, 35(10):59-66.

LIU Jintao, TANG Tao, ZHAO Lin, et al. Functional Safety Analysis of CTCS-3 Train Control System Based on

UML Model [J]. Journal of the Railway Society, 2013, 35(10):59-66.

[13]ERTMS/ETCS SUBSET-088: ETCS Application Level 2- Safety Analysis Part 1-Functional Fault Tree [EB/OL]. http://www.era.europa.eu.2016-08-01.

[14]ERTMS/ETCS SUBSET-078: Failure Modes and Effects Analysis for ETCS Application Level 2 [EB/OL]. http://www.era.europa.eu.2016-08-01.